Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Поскольку сделать снимок или подобрать учетные данные не всегда возможно, злоумышленники продолжают находить новые способы получения действительных учетных записей. В последнее время среди операторов программ-вымогателей набирают популярность методы доступа к учетным данным, подобные Kerberoasting.

Атакующие злоупотребляют билетами для получения билетов (ticket-granting ticket [TGT]) Kerberos или перехватывают сетевой трафик, чтобы получить билет, предоставленный службой выдачи билетов (ticket-granting service [TGS]). Например, операторы программы-вымогателя Ryuk использовали Rubeus для выполнения атаки Kerberoasting.

Получив учетные данные нужного уровня, операторы программ-вымогателей готовы к продвижению по сети.

Прежде чем начать горизонтальное перемещение, злоумышленникам необходимо собрать информацию о сети, в которую они проникли. Такие действия могут включать сканирование сети и разведку Active Directory.

Два наиболее распространенных инструмента сетевого сканирования, которые используются различными операторами программ-вымогателей, — Advanced IP Scanner и SoftPerfect Network Scanner.

Одно из наиболее распространенных средств для разведки Active Directory, используемых злоумышленниками, — AdFind, легитимный инструмент запросов к Active Directory из командной строки.

Вот пример того, как этот инструмент использовался операторами программы-вымогателя Netwalker.

AdFind позволяет злоумышленникам собирать информацию о пользователях, компьютерах, доверительных отношениях между доменами, подсетях и многом другом. Эта информация может помочь им найти наиболее ценные хосты, например с резервными копиями и конфиденциальной информацией.

Еще один популярный инструмент исследования Active Directory — ADRecon. Его активно использовали операторы программы-вымогателя REvil.

Как и на предыдущих этапах, злоумышленники могут использовать для разведки сети встроенные возможности Windows. Например, лица, связанные с программой-вымогателем Conti, использовали для этого командлеты (упрощенные команды) PowerShell.

Давайте перейдем непосредственно к методам горизонтального перемещения по сети.

Продвижение по сети — еще одна тактика, которая предполагает активное использование уязвимостей. Многие злоумышленники предпочитают распространенные уязвимости, яркий пример — EternalBlue (CVE-2017–0144), уязвимость в протоколе Server Message Block (SMB), которую еще в 2017 г. использовала печально известная программа WannaCry.

Эта уязвимость по-прежнему присутствует во многих корпоративных сетях, поэтому она до сих пор популярна у злоумышленников — например, у группировки LockBit.

В числе других распространенных уязвимостей, которые взломщики используют для горизонтального перемещения, — SMBGhost (CVE-2020–0796) и Zerologon (CVE-2020–1472).

Операторы программ-вымогателей используют различные удаленные службы, такие как RDP, SMB и др., для горизонтального перемещения с использованием действующих учетных записей. Если злоумышленники получили первоначальный доступ через RDP, во многих случаях они эксплуатируют тот же протокол для подключения к другим хостам в скомпрометированной сети, где они развертывают вредоносные программы, инструменты удаленного доступа и, конечно же, сами программы-вымогатели.

Злоумышленникам, распространяющим программами-вымогателями, нравится RDP, поэтому в их арсенале даже есть заготовленные скрипты для изменения конфигурации с целью получения возможности установления RDP-соединений с целевыми хостами.

Есть и другие подметоды, например SMB и Windows Remote Management (WinRM).

Не всегда операторам программ-вымогателей удается получать пароли в открытом виде, поэтому в некоторых случаях им приходится использовать хеши паролей или билеты Kerberos для горизонтального перемещения по сети. Атаки Pass the Hash (PtH) и Pass the Ticket (PtT) могут быть выполнены с помощью Mimikatz или фреймворков постэксплуатации, таких как Cobalt Strike и Metasploit.

Одна из целей злоумышленников при горизонтальном перемещении — поиск хостов с конфиденциальными данными, которые можно было бы собрать и украсть. Далее мы рассмотрим наиболее популярные методы сбора и эксфильтрации данных.

Как мы уже говорили, операторы программ-вымогателей в большинстве случаев не только шифруют данные, но и крадут их. Данные можно красть из множества источников. Давайте рассмотрим самые распространенные из них.

Злоумышленники могут найти во взломанных системах ценные данные. Соглашения, контракты или файлы, содержащие персональные данные, — все это может быть использовано лицами, связанными с программами-вымогателями, для дальнейшего шантажа.

Общие сетевые диски — весьма популярные источники потенциально значимой информации, поэтому участники атак программ-вымогателей часто собирают и крадут данные и с них.